在 Windows 上安装和配置转发器

本文档介绍了如何在 Microsoft Windows 上安装和配置转发器。

自定义配置文件

Google Cloud 会根据您在部署前提交的信息,为转发器提供一个可执行文件和可选配置文件。可执行文件只能在运行配置文件的主机上运行。每个可执行文件都包含特定于您网络上的转发器实例的配置。如果您需要更改配置,请与 Chronicle 支持团队联系。

系统要求

下面是一些常规建议。如需了解与您的系统相关的建议,请与 Chronicle 支持团队联系。

  • Windows Server 版本 - 以下版本的 Microsoft Windows Server 支持 Chronicle 转发器:

    • 2008 R2
    • 2012 R2
    • 2016
  • RAM - 每种收集的数据类型都具有 1.5 GB 的存储空间。例如,端点检测和响应 (EDR)、DNS 和 DHCP 都是单独的数据类型。您需要 4.5 GB 的 RAM 来收集所有三个数据。

  • CPU - 2 个 CPU 足以处理每秒 10000 个以下事件 (EPS)。如果您预期转发的 EPS 超过 10000,则需要 4 到 6 个 CPU。

  • 磁盘 - 无论 Chronicle 转发器处理多少数据,100 MB 的磁盘空间就足够了。Chronicle 转发器不会缓冲到磁盘。

验证防火墙配置

如果您在转发器容器和互联网之间有防火墙或经过身份验证的代理,则它们需要规则以允许访问以下 Google Cloud 主机:

连接类型 Destinatio 端口
TCP malachiteingestion-pa.googleapis.com 443
TCP accounts.google.com 443

您可以按照以下步骤检查与 Google Cloud 的网络连接:

  1. 以管理员权限启动 Windows PowerShell(Windows -> 右键点击 Windows PowerShell 并选择“以管理员身份运行”)。

  2. 请发出以下命令。TcpTestSucceeded 应返回 True。

    C:\> test-netconnection <host> -port <port>

    例如:

    C:\> test-net connection malachiteingestion-pa.googleapis.com -port 443
    ComputerName     : malchiteingestion-pa.googleapis.com
    RemoteAddress    : 198.51.100.202
    RemotePort       : 443
    InterfaceAlias   : Ethernet
    SourceAddress    : 10.168.0.2
    TcpTestSucceeded : True</font>
    

您还可以使用转发器检查网络连接:

  1. 以管理员权限启动命令提示符(Windows -> 右键点击命令提示符,然后选择“以管理员身份运行”)。
  2. 如需验证网络连接,请使用 -test 选项运行转发器。

    C:\> .\chronicle_forwarder.exe -test
    Verify network connection succeeded!
    

在 Windows 上安装转发器

在 Windows 上,需要将转发器可执行文件作为服务进行安装。

  1. 将 chronicle_forwarder.exe 文件和配置文件复制到工作目录。

  2. 以管理员权限启动命令提示符(Windows -> 右键点击命令提示符,然后选择“以管理员身份运行”)。

  3. 如需安装该服务,请转到您在第 1 步中创建的工作目录,并发出以下命令:

    C:\> .\chronicle_forwarder.exe -install -config <configFileProvidedToYou>
    
    The service is installed to C:\Windows\system32\ChronicleForwarder
    
  4. 如需启动服务,请发出以下命令:

    C:\> sc start chronicle_forwarder

验证转发器是否正在运行

转发器应在端口 443 上打开网络连接,并且您的数据应该会在几分钟内显示在 Chronicle 网页界面中。

您可以通过以下任一方法验证转发器是否正在运行:

  • 任务管理器 - 导航到“进程”标签页。“后台进程”下应该会列出 chronicle_forwarder。

  • 资源监视器 - 在“网络”标签页中,chronicle_forwarder.exe 应用应列在网络活动下(每当 chronicle_forwarder.exe 应用连接到 Google Cloud 时)、TCP 连接下和侦听端口下。

  • Chronicle 转发器日志文件 - 导航到 C:\Windows\Temp 文件夹。Chronicle 转发器日志文件存储在此处。日志文件均以 chronicle_forwarder.exe.win-forwarder 开头。在文本编辑器中打开最新的日志文件。它提供了各种信息,包括 Chronicle 转发器启动的时间和开始向 Google Cloud 发送数据的时间。

卸载转发器

如需卸载转发器服务,请完成以下步骤:

  1. 在管理员模式下打开命令提示符。

  2. 停止 Chronicle 转发器服务:

    C:\> sc stop chronicle_forwarder
    SERVICE_NAME: chronicle_forwarder
    TYPE               : 10  WIN32_OWN_PROCESS
    STATE              : 4  RUNNING (STOPPABLE, PAUSABLE, ACCEPTS_SHUTDOWN)
    WIN32_EXIT_CODE    : 0  (0x0)
    SERVICE_EXIT_CODE  : 0  (0x0)
    CHECKPOINT         : 0x0
    WAIT_HINT          : 0x0
    
  3. 转到 C:\Windows\system32\ChronicleForwarder 目录并卸载 Chronicle 转发器服务:C:\> .\chronicle_forwarder.exe -uninstall

升级转发器

如需升级转发器,同时继续使用当前的配置文件,请完成以下步骤:

  1. 在管理员模式下打开命令提示符。

  2. 将您的配置文件从 C:\Windows\system32\ChronicleForwarder 目录复制到其他目录。

  3. 停止 Chronicle 转发器:

    C:\> sc stop chronicle_forwarder

  4. 卸载 Chronicle 转发器服务和应用:

    C:\> .\chronicle_forwarder.exe --uninstall

  5. 删除 C:\windows\system32\ChronicleForwarder 目录中的所有文件。

  6. 将新的 chronicle_forwarder.exe 应用和原始配置文件复制到工作目录。

  7. 从工作目录中发出以下命令:

    C:\> .\chronicle_forwarder.exe -install -config configFileProvidedToYou

  8. 启动服务:

    C:\ sc start chronicle_forwarder

收集 Splunk 数据

联系 Chronicle 支持团队,更新您的 Chronicle 转发器配置文件,以将 Splunk 数据转发到 Google Cloud。

收集 Syslog 数据

Chronicle 转发器可以作为 Syslog 服务器运行,这意味着您可以配置任何支持通过 TCP 或 UDP 连接发送 syslog 数据的设备或服务器,以将其数据转发到 Chronicle 转发器。您可以确切控制设备或服务器发送给 Chronicle 转发器的数据,然后这些数据又可以转发到 Google Cloud。

Chronicle 转发器配置文件指定了要监控每种转发数据(例如,端口 10514)的端口。默认情况下,Chronicle 转发器同时接受 TCP 和 UDP 连接。联系 Chronicle 支持团队,更新您的 Chronicle 转发器配置文件以支持 Syslog。

切换数据压缩

日志压缩可以降低将日志传输到 Chronicle 时的网络带宽消耗。但是,压缩可能会导致 CPU 使用率增加。 CPU 使用率和带宽之间的权衡取决于许多因素,包括日志数据的类型、数据的可压缩性、运行转发器的主机上 CPU 周期的可用性以及减少网络带宽消耗的需要。

例如,基于文本的日志可以很好地压缩,可以在降低 CPU 使用率的情况下显著节省带宽。但是,原始数据包的加密载荷不能很好地压缩,并且会产生更高的 CPU 使用率。

由于转发器提取的大多数日志类型都高效压缩,因此默认启用日志压缩以减少带宽消耗。但是,如果增加的 CPU 使用率超过了带宽节省的益处,您可以通过将 Chronicle 转发器配置文件中的 compression 字段设置为 false 来停用压缩功能,如以下示例所示:

  output:
  compression: false
  url: malachiteingestion-pa.googleapis.com:443
  identity:
  identity:
  collector_id: 10479925-878c-11e7-9421-10604b7abba1
  customer_id: abcd4bb9-878b-11e7-8455-12345b7cb5c1
  secret_key: |
  {
    "type": "service_account",
  ...

为 syslog 配置启用 TLS

您可以启用传输层安全协议 (TLS) 以使 Syslog 连接到 Chronicle 转发器。在 Chronicle 转发器配置文件中,指定证书和证书密钥的位置,如以下示例所示:

证书 "/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
certificate_key "/opt/chronicle/external/certs/forwarder.key"

根据显示的示例,Chronicle 转发器配置将按如下方式修改:

  collectors:
- syslog:
    common:
      enabled: true
      data_type: WINDOWS_DNS
      data_hint:
      batch_n_seconds: 10
      batch_n_bytes: 1048576
  tcp_address: 0.0.0.0:10515
  connection_timeout_sec: 60
  certificate: "/opt/chronicle/external/certs/edb3ae966a7bbe1f.pem"
  certificate_key: "/opt/chronicle/external/certs/forwarder.key"

您可以在配置目录下创建证书目录,并将证书文件存储在该目录下。

收集数据包数据

Chronicle 转发器可以在 Windows 系统上使用 WinPcap 或 Npcap 直接从网络接口捕获数据包。捕获数据包并将其发送到 Google Cloud 而不是日志条目。捕获仅从本地接口完成。

联系 Chronicle 支持团队,更新您的 Chronicle 转发器配置文件以支持数据包捕获。

如需运行数据包捕获 (PCAP) 转发器,您需要以下各项:

  • 对于 Microsoft Windows 主机,请根据组织的要求安装 WinPcap 或 Npcap。

  • Chronicle 转发器需要 root 或管理员权限才能监控网络接口。

  • 无需命令行选项。

  • 对于 Npcap 安装,请启用 WinPcap 兼容模式。

如需配置 PCAP 转发器,Google Cloud 需要用于捕获数据包的接口的 GUID。在您计划安装 Chronicle 转发器的机器(服务器或侦听 span 端口的机器)上运行 getmac.exe,然后将输出发送给 Chronicle。

或者,您可以修改配置文件。找到 PCAP 部分,然后将接口旁边显示的 GUID 值替换为正在运行的 getmac.exe 中显示的 GUID。

例如,以下是原始 PCAP 部分:

- pcap:
 common:
       enabled: true
 data_type: PCAP_DNS
       batch_n_seconds: 10
   batch_n_bytes: 1048576
     interface: \Device\NPF_{1A7E7C8B-DD7B-4E13-9637-0437AB1A12FE}
   bpf: udp port 53

以下是运行 getmac.exe 的输出:

C:\>getmac.exe
  Physical Address    Transport Name
  ===========================================================================
  A4-73-9F-ED-E1-82   \Device\Tcpip_{2E0E9440-ABFF-4E5B-B43C-E188FCAD1234}

最后,下面是修订后的 PCAP 部分以及新的 GUID:

  - pcap:
       common:
     enabled: true
         data_type: PCAP_DNS
     batch_n_seconds: 10
         batch_n_bytes: 1048576
       interface: \Device\NPF_{2E0E9440-ABFF-4E5B-B43C-E188FCAD9734}
     bpf: udp port 53